谷歌发布了紧急Chrome更新(版本143.0.7499.109/101),以修复三个漏洞,其中包括一个已被积极利用、被归类为高风险等级的0-day漏洞。
据PCWorld报道,如果自动更新尚未发生,用户应通过“帮助”>“关于Google Chrome”手动更新Chrome,Android和iOS版本也已提供修复程序。其他基于Chromium的浏览器,如微软Edge和Brave,已更新至Chromium 143,而Opera可能需要针对该0-day漏洞发布补丁。
谷歌已在新的Chrome版本(Windows和macOS为143.0.7499.109/101,Linux为143.0.7499.109)中修复了三个漏洞。据谷歌称,其中一个漏洞已被用于攻击。新Chrome版本的发布将推迟一天。其他基于Chromium的浏览器制造商将在未来几天跟进;Vivaldi已推出更新。
Srinivas Sista最初并未在Chrome发布博客中发布“安全修复与奖励”部分。最近几周(包括上一周)这种情况已发生数次——过于频繁,不像是疏忽。仅半天后,该博客才列出了已修复的安全漏洞,这些漏洞显然都是由外部研究人员报告给谷歌的。
谷歌将其中一个漏洞归类为高风险。然而,目前仍无关于该漏洞的详细信息。博客仅简略说明:“[466192044] 高风险:正在协调处理中。”截至目前,既无CVE编号,也无关于漏洞类型或受影响组件的信息。目前唯一明确的是,这是一个0-day漏洞。因此,更多信息应会很快公布。另外两个漏洞被归类为中等风险。
12月2日,谷歌略有延迟地发布了新的Chrome主要版本143,该版本修复了若干漏洞。当有新版本可用时,Chrome通常会自行自动更新。您可以使用菜单项“帮助”>“关于Google Chrome”手动启动更新检查。谷歌还提供了Android版Chrome 143.0.7499.1092和iOS版Chrome 143.0.7499.108。Android版本修复了与桌面版相同的漏洞。Windows和macOS的扩展稳定通道现在包含Chromium 142.0.7499.235版本。谷歌计划直到2026年1月才会发布Chrome 144。
其他基于Chromium的浏览器制造商现在被要求迅速跟进更新。微软Edge和Brave已完成向Chromium 143的切换,并已达到上周的安全级别。
Vivaldi通常忽略奇数的Chromium版本(如143),而是依赖前一版本的扩展发布通道。然而,仅在12月10日作为错误修复提供的Vivaldi 7.7.3851.61更新,已经包含了Chromium 142.0.7444.237。此Chromium版本也发布于12月10日,因此应能关闭所有已知的安全漏洞,只要这些漏洞影响到Chromium 142。
12月4日发布的、基于Chromium 141版本的Opera浏览器版本125,最初进一步缩小了与竞争对手的差距。如果上述0-day漏洞也影响Chromium 141,Opera的开发人员无疑将努力将该补丁反向移植到Chromium 141。
